Botnet es difícil de detectar y sin un servidor de control centralizado, es más difícil de eliminar.
Los investigadores han descubierto lo que creen que es una botnet no descubierta anteriormente que utiliza medidas inusualmente avanzadas para apuntar de forma encubierta a millones de servidores en todo el mundo.
La botnet utiliza software patentado escrito desde cero para infectar servidores y acorralarlos en una red peer-to-peer, informaron investigadores de la firma de seguridad Guardicore Labs el miércoles . Las botnets P2P distribuyen su administración entre muchos nodos infectados en lugar de depender de un servidor de control para enviar comandos y recibir datos robados. Sin un servidor centralizado, las redes de bots son generalmente más difíciles de detectar y más difíciles de cerrar.
“Lo intrigante de esta campaña fue que, a primera vista, no había aparente conexión con ningún servidor de comando y control (CNC)”, escribió Ophir Harpaz, investigador de Guardicore Labs. “Fue poco después del inicio de la investigación cuando comprendimos que no existía ningún CNC”.
La botnet, con la que los investigadores de Guardicore Labs han llamado FritzFrog, tiene una serie de otras características avanzadas, que incluyen:
- Cargas útiles en memoria que nunca tocan los discos de los servidores infectados.
- Al menos 20 versiones del software binario desde enero.
- Un enfoque exclusivo en infectar servidores de shell seguro , o SSH, que los administradores de red utilizan para administrar las máquinas.
- La capacidad de realizar una puerta trasera en los servidores infectados.
- Una lista de combinaciones de credenciales de inicio de sesión utilizadas para detectar contraseñas de inicio de sesión débiles que son más “extensas” que las de las botnets vistas anteriormente.
Pon todo eso junto y …
En conjunto, los atributos indican un operador superior al promedio que ha invertido recursos considerables para construir una botnet que sea efectiva, difícil de detectar y resistente a los derribos. La nueva base de código, combinada con versiones en rápida evolución y cargas útiles que se ejecutan solo en la memoria, dificulta que los antivirus y otras protecciones de terminales detecten el malware.
El diseño peer-to-peer dificulta que los investigadores o las fuerzas del orden cierren la operación. El medio típico de derribo es tomar el control del servidor de comando y control. Con servidores infectados con FritzFrog que ejercen un control descentralizado entre sí, esta medida tradicional no funciona. Peer-to-peer también hace que sea imposible examinar los servidores de control y los dominios en busca de pistas sobre los atacantes.
Harpaz dijo que los investigadores de la empresa se toparon por primera vez con la botnet en enero. Desde entonces, dijo, se ha dirigido a decenas de millones de direcciones IP que pertenecen a agencias gubernamentales, bancos, empresas de telecomunicaciones y universidades. Hasta ahora, la botnet ha logrado infectar 500 servidores pertenecientes a “universidades reconocidas en los EE. UU. Y Europa, y una compañía ferroviaria”.
Con todas las funciones
Una vez instalada, la carga útil maliciosa puede ejecutar 30 comandos, incluidos los que ejecutan scripts y descargan bases de datos, registros o archivos. Para evadir los firewalls y la protección de terminales, los atacantes canalizan comandos a través de SSH a un cliente netcat en la máquina infectada. Netcat luego se conecta a un “servidor de malware”. (La mención de este servidor sugiere que la estructura de igual a igual de FritzFrog puede no ser absoluta. O es posible que el “servidor de malware” esté alojado en una de las máquinas infectadas y no en un servidor dedicado. Los investigadores de Guardicore Labs no t disponible de inmediato para aclarar.)
Para infiltrarse y analizar la botnet, los investigadores desarrollaron un programa que intercambia claves de cifrado que la botnet utiliza para enviar comandos y recibir datos.
“Este programa, al que llamamos frogger, nos permitió investigar la naturaleza y el alcance de la red”, escribió Harpaz. “Al usar frogger, también pudimos unirnos a la red” inyectando “nuestros propios nodos y participando en el tráfico P2P en curso”.
Antes de que las máquinas infectadas se reinicien, FritzFrog instala una clave de cifrado pública en el archivo “claves_autorizadas” del servidor. El certificado actúa como una puerta trasera en caso de que se cambie la contraseña débil.
La conclusión de los hallazgos del miércoles es que los administradores que no protegen los servidores SSH con una contraseña segura y un certificado criptográfico ya pueden estar infectados con malware que es difícil de detectar para un ojo inexperto. El informe tiene un vínculo a indicadores de compromiso y un programa que puede detectar máquinas infectadas.
Fuente: ars TECHNICA
